Eine Sicherheitslücke bei Bauhaus brachte Kundendaten in Gefahr: Über die Suchmaschine Bing waren persönliche Informationen von Bauhaus-Plus-Card-Nutzern einsehbar. Obwohl das Datenleck schnell geschlossen wurde, tauchten einige der Infos später im KI-Chat von Bing auf.
Datenleck bei Bauhaus: Kundendaten für alle einsehbar
Ende Oktober 2023 wurde zufällig entdeckt, dass bei der Suche nach der Bauhaus Plus Card in der Suchmaschine Bing auch Bestelldaten von Kunden angezeigt wurden. Wohl aufgrund eines Programmierfehlers waren neben Produktbeschreibungen auch persönliche Kundendaten wie Rechnungs- und Lieferadressen sowie Zahlungsarten abrufbar. Diese Daten reichten bis ins Jahr 2021 zurück (Quelle: golem.de).
Nach erfolglosen Versuchen, das Datenleck direkt bei Bauhaus zu melden, kontaktierte der Entdecker den Landesdatenschutzbeauftragten von Baden-Württemberg und zusätzlich den Datenschutzbeauftragten von Bauhaus. Bereits am nächsten Tag wurde das Datenleck behoben und die betroffenen URLs umgeleitet. Bauhaus bestätigte die Behebung des Problems und kam offenbar auch seinen gesetzlichen Meldepflichten nach. Doch damit nicht genug.
Mit diesen Handy-Apps lässt sich Geld sparen:
auf YouTube
Bauhaus-Kundendaten landen im Bing-KI-Chat
Eine Überprüfung ergab, dass die Daten trotz der Behebung des Lecks weiterhin über den Bing-Cache abrufbar waren. Es wurde auch vermutet, dass die Daten in das Large Language Model des Bing-Chats gelangt sein könnten. Der Bing-KI-Chat verneinte dies zwar, bestätigte aber auf Nachfrage die Existenz der Daten. Trotz Sicherheitsvorkehrungen gelang es dem Entdecker, durch geschickte Fragen an den Bing-Chat weitere Informationen herauszufinden.
Erst am 20. November bestätigte der Datenschutzbeauftragte von Bauhaus, dass die Daten nun auch aus dem Bing-Cache entfernt worden seien. Eine spätere Überprüfung bestätigte, dass über Bing keine entsprechenden Daten mehr auffindbar waren, obwohl der Cache laut Entdecker vermutlich nur gesperrt und nicht gelöscht wurde.
